Buipe

約1年間未修正のままだったiMessageのゼロクリック脆弱性は、中東諸国の政府がジャーナリストを標的にするために利用された可能性がある。報道によると、この脆弱性はゼロクリック型であり、ユーザーが何らかの操作を行う必要がなく、テキストメッセージを受信するだけで標的のデバイス上で有効化される可能性がある。

Citizen LabがKISMETと名付けた脆弱性は、サウジアラビア政府とアラブ首長国連邦政府によって、カタールの報道機関アルジャジーラに勤務するジャーナリストを標的にするために利用されたとされています。このハッキングの標的となったのは、アルジャジーラに勤務する約36人だった可能性があります。

このiMessageの脆弱性を悪用するために使用されたスパイウェアは、イスラエルのNSOグループによって開発されました。この報告書は、このハッキングの標的となった数十人ほどのジャーナリストに焦点を当てていますが、Citizen Labの専門家は、同じスパイウェアがさらに多くの被害者を狙うために使用された可能性があると疑っています。

iMessageハッキングは、iOS 14より前のバージョンのiOSオペレーティングシステムを実行している限り、ほぼすべてのiPhoneモデルをターゲットにするために使用できます。つまり、Appleが9月にリリースしたiOS 14でようやく脆弱性を修正したため、iOS 13以前のすべてのバージョンがこのハッキングに対して脆弱だったことになります。

このハッキングが使用された痕跡は、2019年10月と12月には既に侵入されたデバイスで発見されており、iOS 13.5.1およびiPhone 11で動作することが確認されています。iPhone 12シリーズを含む新しいiPhoneは、iOS 14以降が標準搭載されているため、このハッキングの影響を受けません。iOS 14にアップデートされたデバイスも影響を受けません。

このハッキングは、ハッキング被害に遭ったジャーナリストの一人がシチズン・ラボに連絡し、ハッキング被害の有無を確認してほしいと依頼したことで発覚しました。シチズン・ラボは被害者のiPhoneにVPNをインストールした後、送受信通信を監視し、このエクスプロイトが通信傍受に利用され、NSOグループのスパイウェア「ペガサス」をホストするサーバーに電話が接続されていたことを突き止めました。

一般ユーザーはこのハッキングについて心配する必要はありませんが、デバイスがハッキングに対して脆弱にならないように、常にデバイスを最新バージョンのiOSに更新しておくことをお勧めします。(via)

iPhone をハッカーから安全に保つためのヒントを、以下のビデオでさらにご覧ください。